Publié le 21 février 2026 à 16h53. L’introduction par Anthropic de « Claude Code Security », un outil d’analyse de code basé sur l’intelligence artificielle, a provoqué une chute spectaculaire des actions des entreprises spécialisées dans la cybersécurité, soulevant des questions sur l’avenir du secteur face aux avancées de l’IA.
- Anthropic lance « Claude Code Security », une nouvelle fonctionnalité intégrée à Claude Code, capable d’identifier des vulnérabilités dans le code source.
- L’outil se distingue par son approche contextuelle, analysant le code comme un expert en sécurité humain plutôt que de se baser sur la simple reconnaissance de schémas.
- L’annonce a entraîné une baisse significative des cours des actions de plusieurs entreprises de cybersécurité, reflétant les inquiétudes des investisseurs quant à l’impact de l’IA sur le marché.
Anthropic a dévoilé « Claude Code Security », une nouvelle fonctionnalité directement intégrée à la version web de Claude Code. Cet outil innovant est conçu pour analyser les bases de code à la recherche de failles de sécurité et proposer des correctifs logiciels ciblés, destinés à être examinés par des experts humains. Initialement, cette fonctionnalité est proposée en version bêta limitée aux clients Enterprise et Team. Les responsables de projets open source peuvent cependant solliciter un accès accéléré.
Selon l’annonce d’Anthropic, cet outil répond à un défi majeur en matière de cybersécurité : le nombre croissant de vulnérabilités logicielles, combiné à la pénurie d’experts qualifiés pour les corriger. Alors que de nombreux outils d’analyse se concentrent sur la détection de modèles de vulnérabilités connus, les attaquants exploitent de plus en plus des failles subtiles et spécifiques à chaque contexte.
Analyse contextuelle plutôt que reconnaissance de schémas
L’analyse statique de code traditionnelle repose sur des règles : elle compare le code à des modèles de vulnérabilités connus, identifiant par exemple des mots de passe exposés ou des algorithmes de chiffrement obsolètes. Cependant, des erreurs plus complexes, notamment celles liées à la logique métier ou aux contrôles d’accès, passent souvent inaperçues.
Claude Code Security adopte une approche différente. Au lieu de rechercher des schémas préétablis, l’IA lit et analyse le code de la même manière qu’un expert en sécurité humain. Le système examine la manière dont les différents composants interagissent et comment les données circulent au sein de l’application. Chaque découverte est soumise à un processus de vérification rigoureux. Anthropic précise que Claude vérifie ses propres résultats, cherchant à les confirmer ou à les infirmer, et filtre les faux positifs. Les résultats restants sont accompagnés d’une évaluation de leur gravité et d’un niveau de confiance.
Les résultats validés sont présentés dans un tableau de bord où les équipes de sécurité peuvent les examiner et approuver les correctifs proposés. Anthropic souligne qu’aucune modification n’est appliquée sans l’accord explicite d’un humain, la décision finale revenant toujours aux développeurs.
Plus de 500 vulnérabilités découvertes dans des projets open source
Anthropic présente Claude Code Security comme le fruit de plus d’un an de recherche. Son équipe interne, Frontier Red, a testé de manière systématique les capacités de cybersécurité de Claude, notamment lors de compétitions de type « Capture the Flag » et dans le cadre d’un partenariat avec le Pacific Northwest National Laboratory pour la protection des infrastructures critiques.
Avec le modèle Claude Opus 4.6, lancé début février, l’équipe affirme avoir identifié plus de 500 vulnérabilités dans des bases de code open source en production – des erreurs qui, malgré des décenniesd’examens par des experts, étaient restées indétectées. La communication de ces vulnérabilités aux responsables des projets concernés est en cours. Anthropic utilise également Claude pour vérifier son propre code, qualifiant l’outil d’« extrêmement efficace ». Claude Code Security vise désormais à rendre ces capacités accessibles à un public plus large.
Anthropic reconnaît toutefois que les mêmes compétences qui aident les défenseurs pourraient également être exploitées par les attaquants. Comme le soulignait récemment un rapport, l’IA peut être détournée à des fins malveillantes. Claude Code Security est donc conçu pour aider spécifiquement les défenseurs à se protéger contre une « nouvelle catégorie d’attaques assistées par l’IA ».
Chute des actions des entreprises de cybersécurité
L’annonce a eu un impact immédiat sur les marchés financiers. Selon Bloomberg, le 20 février 2026, les actions de nombreuses entreprises de cybersécurité ont connu une baisse significative. Par exemple, CrowdStrike a perdu 8 %, Cloudflare 8,1 %, Zscaler 5,5 %, SailPoint 9,4 % et Okta 9,2 %. L’ETF Global X Cybersecurity a chuté de 4,9 %, atteignant son plus bas niveau depuis novembre 2023.
Bloomberg relève que cette vente s’inscrit dans une tendance plus large : l’ETF iShares Expanded Tech-Software Sector a perdu environ 23 % depuis le début de l’année et s’achemine vers sa plus forte baisse trimestrielle depuis la crise financière de 2008. De nombreux investisseurs craignent que la possibilité de développer des logiciels assistés par l’IA, le « vibe coding », ne réduise la demande pour les produits logiciels existants et exerce une pression sur la croissance, les marges et les prix des fournisseurs.
Analystes : vents contraires à court terme, opportunités à long terme
« Il y a eu une vente constante de logiciels, et aujourd’hui le secteur de la sécurité est frappé par un mini-crash », a déclaré Dennis Dick, trader en chef chez Triple D Trading, à Bloomberg. « Ce type de marché effraie les investisseurs, car les prix chutent dès qu’il y a le moindre soupçon de perturbation. »
L’analyste de Jefferies, Joseph Gallo, estime cependant que le secteur de la cybersécurité finira par tirer profit de l’IA. Toutefois, les revers provoqués par les « gros titres » pourraient s’intensifier avant que la situation ne s’éclaircisse et que la sécurisation des systèmes d’IA elle-même ne devienne un moteur de croissance pour l’industrie. L’annonce d’Anthropic implique que les fournisseurs d’IA vont commercialiser davantage de produits et se disputer des budgets de cybersécurité supplémentaires.
Anthropic n’a cessé d’enrichir les capacités de Claude ces derniers mois – du lancement de Claude Sonnet 4.6 avec une fenêtre contextuelle d’un million de tokens au déploiement de Claude Code en tant que plateforme web. Parallèlement, le départ d’un chercheur senior en sécurité informatique d’Anthropic suscite des inquiétudes quant à l’utilisation croissante de l’IA et aux dangers de son utilisation abusive.
(carte)